深圳数据条例将迎“三审” “个人隐私信息”和“个人数据”有何不同

　　我们身处一个数字化转型的世界，从衣食住行、健康教育，到社会结构、经济运行，周遭的一切都正在被数据所改变。恰是洞见到这一历史趋势，深圳市敢为人先，于近日发布《深圳经济特区数据条例（征求意见稿）》（以下简称《数据条例》）。

　　《数据条例》立足于自然人、法人和非法人组织的“数据权益”，以“数据处理”为规范对象，以权益保护与数据开放流动、开发利用为立法目标，条分缕析地规定了个人数据、公共数据、数据市场、数据安全等诸多内容，显示出深圳作为“中国特色社会主义先行示范区”的优势与远见。

　　但毋庸讳言，面对数据这一全新的事物，任何立法都是尝试性的。值此征求意见的重要关口，不妨借箸代筹，就《数据条例》第二章“个人数据”提出一得之见，以期有裨于完善。

　　“个人数据，是指载有自然人个人隐私信息的数据。”《数据条例》第八条通过“个人数据”和“个人隐私信息”的区隔完成了对概念界定。但遗憾的是，这一区隔并未体现在后续的具体规则中。

　　事实上，不论是第二节“个人数据处理”，还是第三节“个人数据权益”都沿袭了《个人隐私信息保护法（ 万）》第二章“个人隐私信息处理规则”和第四章“个人在个人隐私信息处理活动中的权利”，相关规定如出一辙，将“个人数据”替换“个人信息”而已。这种重复规定，不但可能浪费立法资源，还可能将引发一系列实践困境。

　　“个人信息”和“个人数据”究竟有什么不同？根据国际标准化组织（ISO）的定义，“数据”是“信息”的一种形式化方式的体现，以达到展示、交互或处理的目的。在数字化条件下，信息和数据构成了一体两面关系：数据是“机器可读”的二进位的编码符号，而信息则是人对该等符号的读取和解读。

　　个人数据和个人信息可以聚合在同一对象上，也可以彼此分离。例如，某人的手机记录着大量朋友的姓名、手机号、地址等个人隐私信息，假设手机不慎掉入大海，则所有的数据因海水侵蚀而毁损灭失，但此人朋友的信息却依然如故。

　　个人隐私信息和个人数据的区隔业已被我国民法典、个人隐私信息保护法、数据安全法所认可。民法典第一百一十一条和第一百二十七条对“个人隐私信息”和“数据”分而对之，数据安全法第三条“本法所称数据，是指任何以电子或者非电子形式对信息的记录”亦阐明了数据和信息的关系，其第五十一条进一步明确“涉及个人隐私信息的数据处理活动应当遵守个人隐私信息保护法律、行政法规的规定”。

　　就此而言，尽管欧盟《通用数据保护条例》（GDPR）采用“个人数据”（personal data），美国在隐私权架构下衍生出“隐私信息”（information privacy），两者大体等同，但中国却基于后发优势，通过个人隐私信息和个人数据的二分法，贴合两者物理性质与经济本质。这有助于辨明蕴含于信息的人格价值和蕴含于数据中的财产价值，进而为更精密和更科学的法律规则设计奠定了基础。

　　一方面，它决定着个人权利的对象。民法典第一千零三十六条、个人隐私信息保护法（草案）第四十五到第四十七条规定了个人信息的查询、复制、更改、删除权利，《数据条例》第二十六到第二十九条亦规定，个人数据的查询、复制、更改、删除权利，但相关权利究竟指向“信息”还是“数据”？结果大不相同。

　　以查询权为例，在近日发生的特斯拉车主维权纠纷中，特斯拉公司是不是应向车主提供数据、是否有权将数据公开、是否提供了真实的数据等问题，已成为聚讼纷纷之焦点。在笔者看来，正是由于对“数据”的执著，才使各方困在数据权属的无穷纷争之中。

　　事实上，汽车数据往往是多元主体和多元利益的结合。对消费的人而言，数据中有司机行踪轨迹、操作习惯等的个人隐私信息；对特斯拉公司而言，包含其为维护汽车运行安全、提升无人驾驶效果、进行算法训练的商业数据；对政府而言，行驶过程中收集的路面及周边道路地图、重要敏感区域的人流车流数据可能构成攸关国家安全的重要数据。

　　正因如此，试图简单地讨论数据归属，并没有很好的方法解决多元利益冲突，更不能得出权利冲突时何方更应当受到保护的结论。作者觉得，在数据权属缺乏共识的前提下，回到民法典中的个人隐私信息查询权、个人隐私信息保护法（草案）第八条中保证个人隐私信息准确、完整的义务以及非经明确同意不得公开个人隐私信息的规则，就足以化解上述种种争议。

　　简言之，车主有权要求特斯拉提供与驾驶员相关的所有信息，特别是记录、分析驾驶员行为以及人机交互情况的信息。同时，在车主对个人隐私信息真实性表达合理质疑时，特斯拉承担自证清白的责任。至于个人隐私信息的原始数据及与个人无关的其他数据，车主可与公司协商一致获取。

　　值得一提的是，在北美地区，特斯拉就以收费服务方式，向用户更好的提供汽车安全事件数据记录器，协助用户查询车辆碰撞前、碰撞时、碰撞后的运行关键数据，以有效还原事故真相。

　　再以复制权为例，若复制的是由文字组成的“信息”，则其主要实现个人知情权；若复制的是“数据”，那么辅以技术方法，就可能演化为中国版“数据可携带权”——这在某种程度上预示着用户在取得结构化、机器可读数据副本后，可以转移给第三方，成为别的企业的数据资源和竞争力来源。

　　另一方面，它影响着企业权利的范围。《数据条例》第五十四条规定：“市场主体对合法处理数据形成的数据产品和服务，可以依法自主使用，通过向他人提供获得收益，依法进行处分。”该条赋予了市场主体享有数据权益、开展数据交易的权利。

　　但问题是，根据上述第八条的规定，市场主体对数据来进行的“收集、存储、加工”等合法处理行为，仅说明其付出了劳动、资金和技术。只要其不进行匿名化处理，数据仍然可能与特定自然人相关，从而属于“载有自然人个人隐私信息的数据”，并不能成为市场主体单独处分和交易的对象。此赋权性条款本意在于激励数据生产、培育数据要素市场，但因范围界定不清，可能使企业陷入无所适从的窘境。对此，不妨对“匿名化”作宽泛理解，将“不借助别的信息就没办法识别特定的自然人”的“去标识化”界定为“相对匿名化”，以化解数据利用的窒碍。

　　显而易见，种种问题的症结，恰在于“个人隐私信息”和“个人数据”的混同。治本之道莫过于回归我国信息和数据二元化的立法体系，将《数据条例》定位于数据领域的地方性立法，不在“个人隐私信息”之上叠床架屋地增设“个人数据权益”，聚焦“公共数据开放利用”“市场主体数据权益”和“数据跨境流动”等议题。如是，才能更好地凸显特区特色、贡献特区智慧，为未来中央层面的数据立法探索一条中国道路。